Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Submitter: Furrrr

Het bedrijf Online Game Card Diensten heeft zijn klanten gewaarschuwd dat een onbekende partij toegang heeft gehad tot zijn servers. Daarbij is, naast spelcodes, ook de klantendatabase van het bedrijf buitgemaakt met e-mailadressen en soms ook rekeningnummers.

In een bericht schrijft het bedrijf dat een persoon in augustus toegang heeft weten te verkrijgen tot zijn servers. Een woordvoerder van het bedrijf legt aan Tweakers uit dat de hacker waarschijnlijk uit was op spelcodes, omdat daar een aantal van zijn gebruikt. Het zou gaan om een beperkte voorraad. Daarnaast was er ook toegang tot de klantendatabase met 78.000 klanten, waarin in de meeste gevallen alleen een e-mailadres vermeld zou zijn. In andere gevallen waren daarin ook rekeningnummers en telefoonnummers opgeslagen. Er zijn geen gebruikersnamen of wachtwoorden uitgelekt.

Het lek is gemeld bij de Autoriteit Persoonsgegevens en ook de klanten van het bedrijf zijn op de hoogte gesteld, zo meldt de woordvoerder. Het risico van het uitlekken van de gegevens ligt onder andere daarin, dat klanten phishing-e-mails zouden kunnen ontvangen. Online Game Card Diensten vraagt zijn gebruikers dan ook waakzaam te zijn voor dit soort berichten. Tot nu toe zouden hierover nog geen klachten van klanten zijn binnengekomen. Na het ontdekken van het lek zijn de systemen van het bedrijf 'dichtgespijkerd', aldus het bericht.

Het is onduidelijk wie verantwoordelijk is voor de hack. De woordvoerder geeft aan dat er gebruik is gemaakt van Tor, waardoor de identiteit van de daders moeilijk te achterhalen is. Online Game Card Diensten heeft meerdere sites, waaronder gamecardsdirect.nl en livecardsdirect.nl.

Moderatie-faq Wijzig weergave

Reacties (32)

omfg, de 6e!! voor mij dit jaar :N .... en is pas september; winter is coming
* himlims_ *zucht*
Ik vind dat de mensheid een soort Manhattan Project moet starten om het hacken van computers onmogelijk te maken
Dan moet eerst de vrije marktwerking op de schop. Gaat niet meer gebeuren tijdens mijn leven; mensen zijn narcistisch en willen hun code helemaal niet gratis weggeven aan de mensheid (ook niet als ze gewoon betaald zouden worden voor het coden zelf).
Want Open Source is een voorwaarde (niet een garantie! Dat is iets totaal anders; en steeds weer een verkeerd argument van de tegenstanders van Open Source) voor veilige software.
Dat moet dan in de hele keten: van embedded software / firmware t/m alle softwarepakketten; te starten met de besturingssystemen.
Heeft niets met open-source te maken maar technologische innovatie. Er zijn technische mogelijkheden (denk aan geheugenmanagment) die het hacken van computers onmogelijk maken. Er kunnen nog altijd logische fouten in de programmatuur zitten, maar de meest kritieke zijn toch degene waarbij code execution mogelijk gemaakt wordt. Deze hebben vrijwel zonder uitzondering te maken met geheugenmanagement.

Ik denk dat het mogelijk is en dat we het ook gaan meemaken.
Je hebt niks aan die technische mogelijkheden als ze niet gebruikt worden.
Als het Open Source is, dan kan het publiek zelf zien of het is toegepast. Als het Closed Source is, niet. Dan moet je 100% vertrouwen hebben in het bedrijf dat die Closed Source maakt. Ik vertrouw 100% van de Closed Source software niet.

[Reactie gewijzigd door kimborntobewild op 19 september 2016 13:21]

Soms speel ik wel eens in mijn hoofd met een privacy platform idee. Hoe fijn zou het zijn als je de NAW gegevens nooit meer aan aan bedrijf hoeft te geven? Als je gewoon zegt, stuur naar PostNL klant #5940234, betaal met payment handler X account fjf824ue8uj2.

Een account bij de grotere post bezorgers, banken en communicatie bedrijven wil ik nog wel hebben maar het eindeloos versturen van je NAW gegevens naar vele (vaak amateur) webshopjes, ben ik eigenlijk wel beetje zat.

Vaak krijgt een webshop ook nog wel je bankrekening nummer te pakken (bij terug storting of bij zoiets als afterpay, betalen met machtiging). De webshop heeft dan meteen alles te pakken nodig om identiteit fraude te plegen.. Naam, Adres, Bankgegevens, Telefoonnummer, IP adres, Email.

En het is niet eens dat ik de webshop zo vreselijk wantrouw.. Ik wantrouw hun aandacht/kunnen om mijn gegevens prive te houden. Een datalekje in een dom PHP/SQL shopje en hoppa, gegevens op straat.
Veel webshop software maakt gebruik van SHA1 (salt) versleuteling van gegevens (lijkt mij). Die webshops kunnen in MySQL alleen maar dit zien: 13471f116da26db67cd74d65c7b2aef3d866bde0

Als ik met php inderdaad zelf een webshop opzet kan ik die SHA1 (salt) inderdaad achterwegen laten. Maar waarom zou ik mijn goede naam als handelaar daarmee ten gooi geven als een hacker dan mijn website komt hacken en "er mee vandoor gaat".
Als een site SHA1 gebruikt (of MD5) en ik kom erachter wil ik er direct al m'n gegevens weg hebben, dat is sneller te kraken dan dat je koffie kan zetten...
SHA512 (of in PHP de daarvoor bedoelde 'password_hash()' functie ipv allerlei prutswerk met talloze gaten (waardoor anderen naar binnen kunnen...) gebruiken bijv...) en liefst nog meerdere keren hashen om het opzetten van een rainbow table nog langzamer te maken zodat tegen de tijd dat er een account gebruteforced is, de informatie al maanden of jaren geleden niet meer relevant was...
SHA1 en dat soort eigen prutswerk is leuk als je beveiliging niet serieus wil nemen ;)
Als je dan toch voor "safe" gaat... Kies dan bcrypt.
password_hash gebruikt bcrypt ;)
Die hash gaat je niet beschermen tegen hackers, het is enkel een laatste redmiddel dat de wachtwoorden van je gebruikers niet bekend worden. Daarnaast begint (enkel) SHA1 ook uit de tijd te raken. Tegenwoordig zou je liever naar herhaaldelijke hashes willen kijken van een grotere lengte met geheugen intensieve algoritmes zodat het hash-omkeren zoveel tijd en resources kost dat het praktisch onmogelijk is voor de komende 10 jaar.

[Reactie gewijzigd door Laloeka op 14 september 2016 18:22]

"Normale" hashes zijn tegenwoordig dmv rainbowtables toch zo om te keren? Ik dacht dat pas als je een salt toevoegt aan de hash je wel een betrouwbare vorm van opslag krijgt. Al moet ik zeggen dat ik er niet veel van weet...
Lijkt me sterk. Dan zal je namelijk je gegevens niet kunnen inzien. Sha1 is namelijk een hashing algoritme en niet omkeerbaar, het is geen versleuteling en dus ook niet op die manier te gebruiken.
Maakt dat die site dan niet een enorm doelwit? Verder heb je al de diensten van bv facebook, twitter en google om in te loggen, maar dat moet men dan ook weer implementeren
Alles gewoon weer op papier schrijven en dan hups de brandkluis in!
Dan gaat het werk maar wat langzamer.

Goed voor de conditie.
Volgens mij heb je met je tijdreismachine de verkeerde afslag gepakt
En vervolgens gaan zeuren dat het zo lang duurt en zo duur is zeker....
En wat is dan precies de noodzaak om met alle gegevens bekend te zijn bij welk bedrijf dan ook?
Als ik iets met wat voor bedrijf dan ook van doen heb geef ik ze enkel wat voor mij noodzakelijk lijkt voor de dienstverlening bv. mijn adres als ik iets bestel, verder mogen ze het doen met onzin gegevens.
En dan krijg je soms ook nog de meeste kromme reacties waarom je zomaar je telefoon nummer zou moeten prijsgeven.
Nee! ik betaal en jullie leveren, meer is echt niet nodig.

Heb eigenlijk alleen met australische of amerikaanse bedrijven rare toestanden meegemaakt dat ze persee een kopie van een id kaart wilden zien bijv, wat opzich geen enkele legitimiteit heeft laatstaan nut en dus :w inkomsten.

[Reactie gewijzigd door Sergelwd op 14 september 2016 18:20]

maar het eindeloos versturen van je NAW gegevens naar vele (vaak amateur) webshopjes, ben ik eigenlijk wel beetje zat.
Het is natuurlijk je eigen keuze om wel of niet bij de "amateur" webshopjes te bestellen.
Precies de reden waarom ik ver weg blijf van dat hele "afterpay".
Na het lezen van de voorwaarden was ik er wel klaar mee.
Same deal.
Mijn teller staat op 7.

Een half dagje bezig geweest maar nu heb ik (bijna) voor alle site een apart mail adres dusja.
In elk geval heb ik weinig te vrezen elke site kreeg een eigen random pass. Maar is wel echt extreem aan het worden. Persoonlijk zie ik dat de wet op gegevens bescherming toch iets scherper mag staan voor de toezichthouder. Als zij geen moeite doen voor betere afscherming of zelfs bepaalde gegevens in 'plain-text' bewaren dan stel ik toch wel dat ze daar tegenover wel strikter mogen aangepakt worden dan iemand die wel de moeite doet.

Via geldboete of licentie intrekken van zaak.
Het is niet zeker dat de klantgegevens in plaintext in de database staan, echter, als er ingebroken wordt op de server maakt het niet uit hoe de gegevens opgeslagen zijn; de encryptie sleutel moet beschikbaar zijn voor de server software, dus die is dan relatief eenvoudig te achterhalen.
encryptie is iets anders dan hashen van passwords ;)

Bij encryptie word het beveiligd met een sleutel (waarmee het dus weer te ontsleutelen is) bij hashing word het één kant op in een reeks cijfers/letters veranderd (de details ken ik helaas ook niet) wat opgeslagen word in de DB,

bij login word het wachtwoord overnieuw gehasht, en dit word vergeleken met de DB (het resultaat van een hash is altijd hetzelfde bij eenzelfde woord). Als het hetzelfde is, is de login dus correct.

Nu kun je ook tabellen opstellen die elke hash bevatten van elk mogelijk password, zogenaamde "rainbow tables" wat bij MD5 al gebeurd.

Maar hiervoor zijn dan de zogenaamde Salt's ontwikkeld, een soort extra "random" parameter.

Dat de DB gelekt is betekend niet dat het login/registratiescript ook compromised is, daar staat de Salt in, niet in de DB zelf!

Zelf geven ze aan dat er geen usernames/wachtwoorden kwijt zijn, maar wel email adressen en rekening nummers. Nu kan ik me sleccht voorstellen dat de ene database met de nog crucialere gegevens (rek nr/telefoon nr) wel compromised is, maar die van de login gegevens niet....
Mwah de salt staat vaak genoeg gewoon in de user-tabel omdat die per gebruiker anders is.
Je kan als aanvaller dan natuurlijk rainbow-tables voor elke gebruiker gaan opzetten, maar dan kan je net zo goed gaan brute-forcen.
Ik ben (dus) degene die de redactie heeft getipt. Hoewel ik de afhandeling / communicatie bij deze kwestie echt een schande vind (suggestie wekken dat enkel emailadressen gelekt zijn, terwijl er dus óók bankgegevens zijn bekeken), wil ik benadrukken dat ik in het verleden nooit klachten over deze aanbieder heb gehad. Nu is de dienst(verlening) als zodanig natuurlijk ook niet bijzonder spectaculair, maar ik kan me niet herinneren dat ik ooit lang heb moeten wachten op codes, codes niet werkten en eigenlijk ook niet dat ik ze ooit als overdreven duur heb ervaren (en ook ik weet hoe ik naar prijzen moeten zoeken...)

Dat gezegd hebbende: mocht ik ooit weer een console aanschaffen, dan zien ze mij niet meer als klant terug. Een datalek is één ding, suggestief communiceren een heel ander.
Hoe hebben ze contact met je opgenomen? Ik heb hier dus jaren geleden ook wat gekocht, maar heb geen mailtje ontvangen...
Ik kreeg een mailtje in mijn oude mailbox die ik nog steeds onderhoud.. Daarna heb ik zelf contact opgenomen omdat de precieze verwoording voor mij onvoldoende uitsloot dat slechts emailadressen buit waren gemaakt. In een reply werd toen bevestigd dat er ook telefoon- en rekeningnummers waren bekeken. Dat alles met de geruststelling dat al die info toch wel publiekelijk toegankelijk is.
Och, Als je eens wist wat er allemaal via het Tor-netwerk o.a. wordt aangeboden.
Daar kun je ook gewoon Paypal en CC gegevens kopen, zodat je jezelf flink kunt verrijken.

Genoeg haxors die er hun geld mee verdienen!
Waar vraag is, is aanbod.

Zie ook hier. Genoeg mensen die voor minder toch willen gamen.


SCHANDE!
Alleen die gewoon Paypal en CC gegevens kopen zijn zelf ook weer fraude. Maar goed, bij wie ga je aankloppen wanneer je wordt opgelicht terwijl je een ander probeert op te lichten? ;)
Je zou toch mogen verwachten dat bedrijven die illegaal verkregen codes verkopen een bezoekje krijgen van de politie? Of is het weer een prioriteitskwestie?
Als dit allemaal via het buitenland verloopt, kan de Nederlandse politie weinig beginnen. Zeker in Rusland e.d. hebben ze weinig te zeggen

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True